В нашем малом бизнесе мы используем около 75 компьютеров. Все серверы и настольные компьютеры / ноутбуки обновлены и защищены с помощью Panda Business Endpoint Protection. и Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).
Однако в нашей производственной среде работает около 15 компьютеров с Windows XP. Они подключены к сети компании. В основном для связи с SQL и ведения журнала. У них ограниченный доступ на запись к серверам.
ПК с Windows XP используются только для одного специального (настраиваемого) производственного приложения. Никакого офисного программного обеспечения (электронная почта, просмотр, офис, ...). Более того, каждый из этих XP-ПК имеет контроль доступа в Интернет Panda, который не разрешает доступ в Интернет. Единственные исключения - для Windows и Panda Updates.
Необходимо ли с точки зрения безопасности заменять эти ПК с Windows XP на новые ПК?
необходимо ли с точки зрения безопасности заменить эти ПК с XP новыми ПК.
Нет, заменять ПК не нужно. Но это является необходимо обновить эти операционные системы (это может также включает замену этих компьютеров - мы не знаем. Но если они используют специализированное оборудование, то, возможно, удастся сохранить ПК).
Есть очень много реальные истории о зараженных компьютерах, предположительно находящихся в "воздушном зазоре". Это может произойти независимо от вашей операционной системы, но наличие сверхстарой необновляемой операционной системы делает ее еще более опасной.
Тем более, что похоже, что ваши компьютеры защищены программное обеспечение ограничение на блокировку доступа в Интернет. Это, вероятно, легко обойти. (предостережение: я никогда не слышал об этом контроле доступа к сети Panda, но он определенно выглядит как программное обеспечение на хосте).
Проблема, с которой вы, вероятно, столкнетесь, - это отсутствие сотрудничества с поставщиками. Возможно, что поставщики отказываются помогать, хотят взимать 100000 долларов за обновление или просто обанкротились, а IP-адрес выбросили.
Если это так, то компании необходимо выделить бюджет.
Если на самом деле нет другого выхода, кроме как сохранить работающую 16-летнюю операционную систему без исправлений (возможно, это токарный или фрезерный станок с ЧПУ стоимостью миллион долларов, или МРТ), тогда вам нужно сделать серьезную аппаратную изоляцию хоста. Размещение этих машин на их собственном vlan с чрезвычайно строгими правилами брандмауэра было бы хорошим началом.
Казалось бы, в этом отношении вам нужна помощь, так как же это:
Windows XP - это операционная система, которой уже 16 лет. Шестнадцати летний. Позвольте этому осознать. Я бы дважды подумал, прежде чем покупать машину шестнадцатилетней давности, а они все еще производят запчасти для автомобилей шестнадцатилетней давности. Для Windows XP «запчастей» нет.
Судя по всему, у вас плохая изоляция хоста. Допустим, что-то уже попадает в вашу сеть. Другими способами. Кто-то вставляет зараженную флешку. Он будет сканировать вашу внутреннюю сеть и распространяться на все, что имеет уязвимость, которую он может использовать. Отсутствие доступа в Интернет здесь не имеет значения, потому что телефонный звонок поступает из внутри дома
Честно говоря, не стоит необходимость для обоснования замены этих компьютеров и / или операционной системы. Они будут полностью обесценены для целей бухгалтерского учета, они, вероятно, уже давно прошли срок действия любой гарантии или поддержки со стороны поставщика оборудования, они определенно прошли какую-либо поддержку со стороны Microsoft (даже если вы махнете своим титановым American Express перед лицом Microsoft, они все равно не возьмут ваши деньги).
Любая компания, которая заинтересована в снижении риска и ответственности, заменила бы эти машины много лет назад. Нет оправдания хранению рабочих станций. Я перечислил некоторые действительный отговорки выше (если он полностью отключен от всех без исключения сетей, живет в туалете и запускает музыку в лифте, я мог бы - МОЖНО - дать ему пропуск). Похоже, у вас нет веского оправдания, чтобы бросить их. Особенно теперь, когда вы знаете, что они есть, и вы видели ущерб, который может произойти (я полагаю, вы писали это в ответ на WannaCry / WannaCrypt).
Замена может оказаться излишней. Настроить шлюз. Шлюз должен не запустить Windows; Linux, вероятно, лучший выбор. Шлюз должен иметь две отдельные сетевые карты. Машины с Windows XP будут находиться в одной сети с одной стороны, остальной мир - с другой. Linux не будет маршрутизировать трафик.
Установите Samba и сделайте общие ресурсы для машин XP, на которые будет записывать. Скопируйте входящие файлы в конечный пункт назначения. rsync было бы логичным выбором.
С помощью iptables, заблокируйте все порты, кроме используемых для Samba. Заблокируйте исходящие соединения Samba на стороне, на которой установлены машины XP (чтобы ничто не могло писать на машины XP), и ** все * входящие соединения на другой стороне (чтобы ничто не могло вообще писать на машину Linux) - возможно, с помощью одного жестко запрограммированное исключение для SSH, но только с IP-адреса вашего управляющего ПК.
Чтобы взломать машины XP, теперь требуется взломать промежуточный сервер Linux, который положительно отклоняет все соединения, поступающие со стороны, отличной от XP. Это то, что известно как глубокая защита. Хотя возможно, что все еще существует какая-то неудачная комбинация ошибок, которая позволит решительному и хорошо осведомленному хакеру обойти это, вы говорите о хакере, который специально пытается взломать эти 15 машин XP в вашей сети. Ботнеты, вирусы и черви обычно могут обходить только одну или две распространенные уязвимости и редко могут работать в нескольких операционных системах.
Новости этих выходных о WannaCry должны были ясно дать понять, что абсолютно необходимо заменить Windows XP и аналогичные системы везде, где это возможно.
Даже если MS выпустит необычный патч для этой древней ОС, нет никакой гарантии, что это повторится снова.
Мы используем некоторые машины с Windows XP для определенного (устаревшего) программного обеспечения, мы постарались перенести как можно больше на виртуальные машины с помощью Oracle VirtualBox (бесплатно), и я бы рекомендовал вам сделать то же самое.
Это дает несколько преимуществ;
Номер 1 для вас - это то, что вы можете очень жестко контролировать доступ к сети виртуальной машины извне (без установки чего-либо внутри Windows XP), и вы получаете выгоду от защиты более новой ОС хост-машины и любого программного обеспечения безопасности, работающего на ней.
Это также означает, что вы можете перемещать виртуальную машину между разными физическими машинами / операционными системами при обновлении или сбоях оборудования, легко выполнять резервное копирование, в том числе иметь возможность сохранить моментальный снимок «заведомо исправного рабочего» состояния перед применением любых обновлений / изменений.
Мы используем одну виртуальную машину для каждого приложения, чтобы все было полностью разделено. Пока вы сохраняете правильный UUID загрузочного диска, установка Windows XP не имеет значения.
Такой подход означает, что мы можем развернуть виртуальную машину для данной задачи с минимальной установкой Windows XP и необходимым программным обеспечением, без каких-либо дополнительных проблем и ничего, что могло бы ее сбить с толку. Регулирование сетевого доступа машины значительно снижает уязвимость и не позволяет Windows XP удивлять вас любыми обновлениями, которые могут что-то сломать или даже хуже.
Как кто-то предлагал ранее, подумайте об усилении изоляции по отношению к остальной части сети.
Использование программного обеспечения на компьютере является слабым (потому что оно полагается на сетевой стек ОС, который сам может быть уязвим). Выделенная подсеть была бы хорошим началом, а решение на основе VLAN лучше (это может быть устранено решительным злоумышленником, но это остановит большинство атак «при возможности». Однако драйверы сетевых адаптеров должны поддерживать это). Лучше всего использовать выделенную физическую сеть (через выделенный коммутатор или VLAN на основе портов).
Да, их нужно заменить. Любой, кто использует компьютеры с Windows XP, подключенные к любой сети после WannaCry, просто напрашивается на проблемы.